﻿// ------------------------------------------------------------------------
// 版权信息
// 版权归重庆虫儿飞科技有限公司所有。
// 所有权利保留。
// 官方网站：https://netokit.com
// 许可证信息
// Neto.Kit 项目主要遵循 MIT 许可证和 Apache 许可证（版本 2.0）进行分发和使用。
// 许可证的完整文本可以在源代码树根目录中的 LICENSE-APACHE 和 LICENSE-MIT 文件中找到。
// 
// 使用条款
// 使用本代码应遵守相关法律法规和许可证的要求。
// 
// 免责声明
// 对于因使用本代码而产生的任何直接、间接、偶然、特殊或后果性损害，我们不承担任何责任。
// 
// 其他重要信息
// Neto.Kit 项目的版权、商标、专利和其他相关权利均受相应法律法规的保护。
// 有关 Neto.Kit 项目的其他详细信息，请参阅位于源代码树根目录中的 COPYRIGHT 和 DISCLAIMER 文件。
// 
// 更多信息
// 请访问 https://netokit.com 获取更多关于 Neto.Kit 项目的许可证和版权信息。
// ------------------------------------------------------------------------

#region

using Ganss.Xss;
using Microsoft.AspNetCore.Mvc.Controllers;

#endregion

namespace Neto.Web;

/// <summary>
///     xss攻击防御
/// </summary>
public class XSSFilterAttribute : IAsyncActionFilter
{
    private readonly XSS xss;

    /// <summary>
    ///     构造函数
    /// </summary>
    public XSSFilterAttribute()
    {
        xss = new XSS();
    }

    /// <summary>
    /// </summary>
    /// <param name="context"></param>
    /// <param name="next"></param>
    public async Task OnActionExecutionAsync(ActionExecutingContext context, ActionExecutionDelegate next)
    {
        var isDefined = false;
        var controllerActionDescriptor = context.ActionDescriptor as ControllerActionDescriptor;
        if (controllerActionDescriptor != null)
            isDefined = controllerActionDescriptor.MethodInfo.GetCustomAttributes(true)
                .Any(a => a.GetType() == typeof(NoXssAttribute));

        //请求不需要验证XSS
        if (isDefined)
        {
        }
        else
        {
            var noXssFieldAttr = controllerActionDescriptor?.MethodInfo.GetCustomAttributes()
                .FirstOrDefault(o => o is NoXssFieldAttribute) as NoXssFieldAttribute;
            var noXssFields = noXssFieldAttr?.Fields ?? new List<string>();

            //获取Action参数集合
            var ps = context.ActionDescriptor.Parameters;
            //遍历参数集合
            foreach (var p in ps)
                if (context.ActionArguments.TryGetValue(p.Name, out var value) && value != null)
                {
                    //当参数等于字符串
                    if (p.ParameterType == typeof(string))
                    {
                        //如果是不进行XSS的字段，跳过处理
                        if (noXssFields.Any(o => o.Equals(p.Name, StringComparison.CurrentCultureIgnoreCase))) continue;
                        context.ActionArguments[p.Name] = xss.Filter(context.ActionArguments[p.Name]?.ToString() ?? "");
                    }
                    else if (p.ParameterType.IsClass) //当参数等于类
                        //Action 上有默认参数为null时 context.ActionArguments[p.Name] 为空值却不为null 导致后续操作报错，目前暂无解决方案
                        //如下 facetFields=null时 context.ActionArguments[p.Name] 取出却不为null
                        //具体报错接口  public Task<object> SearchBySolr(string key, int size = 10, int page = 1, string sort = "df", List<SolrFacetFields> facetFields = null)
                        try
                        {
                            ModelFieldFilter(p.Name, p.ParameterType, context.ActionArguments[p.Name], noXssFields);
                        }
                        catch (Exception ex)
                        {
                            // 记录异常信息，例如使用日志库（此处以Console.WriteLine为例）
                            Console.WriteLine($"Error processing {p.Name}: {ex.Message}");
                        }
                }
        }

        //执行
        var resultContext = await next();
    }

    /// <summary>
    ///     遍历修改类的字符串属性
    /// </summary>
    /// <param name="key">类名</param>
    /// <param name="t">数据类型</param>
    /// <param name="obj">对象</param>
    /// <param name="noXssFields">不进行xss过滤的字段</param>
    /// <returns></returns>
    private object? ModelFieldFilter(string key, Type t, object? obj, IEnumerable<string> noXssFields)
    {
        //获取类的属性集合
        //var ats = t.GetCustomAttributes(typeof(FieldFilterAttribute), false);

        if (obj == null) return obj;
        //获取类的属性集合
        var pps = t.GetProperties().Where(p => p.GetIndexParameters().Length == 0);

        foreach (var pp in pps)
            if (pp.GetValue(obj) != null)
            {
                //当属性等于字符串
                if (pp.PropertyType == typeof(string))
                {
                    //如果是不进行XSS的字段，跳过处理
                    if (noXssFields.Any(o => o.Equals(pp.Name, StringComparison.CurrentCultureIgnoreCase))) continue;
                    var value = pp.GetValue(obj)?.ToString();
                    if (value != null) pp.SetValue(obj, xss.Filter(value));
                }
                else if (pp.PropertyType.IsClass) //当属性等于类进行递归
                    try
                    {
                        pp.SetValue(obj, ModelFieldFilter(pp.Name, pp.PropertyType, pp.GetValue(obj), noXssFields));
                    }
                    catch (Exception ex)
                    {
                        // 记录异常信息
                        Console.WriteLine($"Error processing property {pp.Name}: {ex.Message}");
                    }
            }

        return obj;
    }
}

internal class XSS
{
    private readonly HtmlSanitizer sanitizer;

    public XSS()
    {
        sanitizer = new HtmlSanitizer();
        //sanitizer.AllowedTags.Add("div"); //标签白名单
        sanitizer.AllowedAttributes.Add("class"); //标签属性白名单,默认没有class标签属性
        //sanitizer.AllowedCssProperties.Add("font-family");//CSS属性白名单
    }

    /// <summary>
    ///     XSS过滤
    /// </summary>
    /// <param name="html">html代码</param>
    /// <returns>过滤结果</returns>
    public string Filter(string html)
    {
        return sanitizer.Sanitize(html);
    }
}